流行Wordpress插件的缺陷在危险之中推出超过一百万个网站

基于WordPress的网站的所有者应该尽快更新Jetpack插件，因为可能会使用户攻击攻击。

JetPack是一个流行的插件，提供免费网站优化，管理和安全功能。它是由Automattic，Wordpress.com的公司和WordPress开源项目的开发开发，拥有超过100万活跃安装。

来自Web安全公司Sucuri的研究人员发现了一个存储的跨站点脚本（XSS）漏洞，自2012年以来，从版本2.0开始影响所有Jetpack版本。

该问题位于短码内嵌入式JetPack模块，允许用户将外部视频，图像，文档，推文和其他资源嵌入到其内容中。它可以很容易地利用将恶意JavaScript代码注入评论。

由于JavaScript代码是持久的，它将在用户“每次查看恶意评论时在受影响的网站的上下文中执行”浏览器“。这可用于窃取其身份验证cookie，包括管理员的会话;重新定向访问者攻击，或注入搜索引擎优化（SEO）垃圾邮件。

“如果您还没有这样做，我们可以轻松地利用WP-评论来利用漏洞，我们建议每个人都忙于更新，”博客帖子中的Sucuri研究员Marc-Alexandre Montpas说。

Don“T具有可激活的短码嵌入模块的网站不受影响，但此模块提供了流行的功能，因此许多网站可能使其启用。

Jetpack开发人员已使用WordPress安全团队，以通过WordPress核心自动更新系统将更新推送到所有受影响的版本。Jetpack版本4.0.3或更新包含修复程序。

如果用户不想升级到最新版本，Jetpack开发人员也为Jetpack Codebase的所有二十个弱势分支发布了Point Post释放：2.0.7,2.1.5,2.2.8,2.3.8,2.4.5,2.5.3,2.6.4,2.7.3,2.8.3,2.9.4,3.0.4,3.1.3,3.2。 3,3.3.4,3.4.4,3.5.4,3.6.2,3.7.3,3.8.3,3.9.7和4.0.3。